Comment configurer un firewall Cisco ?

Comment configurer un firewall Cisco ? - Sécurité - Windows & Software

Marsh Posté le 07-11-2003 à 17:37:28    

Je dois configurer un firewall cisco, le probleme, c'est que je n'ai pas vraiment de notice  :(  
 
D'apres ce que j'ai glanné, on configure la sécurité (pour son role de Firewall) en créant des access lists ?
 
Ca suffit ou il y a encore d'autres parametres ?

Reply

Marsh Posté le 07-11-2003 à 17:37:28   

Reply

Marsh Posté le 07-11-2003 à 17:44:36    

il y a 3 choses :  
 
1) Activation d'un firewall avec inspection des packets (mais la il faut avoir l'IOS qui va bien).
 
2) Gerer des acces-list afin de filtrer par ports/par protocoles/par adresses IP ce qui rentre et ce qui sort de ton lan.
 
3) enfin parametrer tes interfaces lan et wan comme il faut afin de betonner ta sécurite (no ip redirects, no ip unreachables, no cdprun.....).
 
 
Le meilleur moyen est d'aller sur un forum DEDIE au materiel Cisco tq :
 
www.labo-cisco.com/forum2/default.asp  
 
ou bien de se taper la doc (y'en a des caisses) directement sur le site du constructeur.


Message édité par vrobaina le 07-11-2003 à 17:45:09
Reply

Marsh Posté le 07-11-2003 à 17:49:04    

merci
 
Une question :
 
Mon firewall ne possede que 2 interface : une de sortie et d'entrée.
 
je ne vois pas comment je peux coller une A-L sur une interface particuiliere !? car quand je fais sh acces-list, il ne fait pas de correspondance avec les interfaces !

Reply

Marsh Posté le 07-11-2003 à 17:53:36    

exemple :
 
access-list acl-in permit ip host 192.168.1.10 any  
 
si je comprends bien, dans cet exemple, on permet a la machine 192.168.1.10 d'aller vers n'importe quelle autre de l'autre coté du firewall ?
 
Si je veux empecher toute machine exterieure, je ne voit pas comment faire, car inverser les termes ne vas pas marcher :L

Reply

Marsh Posté le 07-11-2003 à 17:57:42    

et par defaut, le firewall bloque tout et l'on doit liberer au fur et a mesure des besoins au au contraire, il laisse tout passer et l'on doit bloquer au fur et a mesure ?

Reply

Marsh Posté le 07-11-2003 à 17:58:57    

j'vais pas de faire un cours sur l'ios car j'ai par le temps mais en resumé :
1) se connecter au bestiau.
2) taper enable.
3) taper configure pour rentre dans le menu de conf.
4) saisir ton access-list (access-list 101 tcp any any.....)
5) passer dans le menu de conf de l'interface desirée :
interface ETH0 (par exemple)
6)  taper acces-list 101 in    par exemple
pour affecter l'access-list 101 à l'interface ETH0 en entrée.
 
En fait coté lan tu fais des access-list en "out" et du coté de ton interface wan tu fais une acces-list en "in".
 

Reply

Marsh Posté le 07-11-2003 à 18:00:46    

Les ACL sont lues en séquence :
1) tu autorises ce que tu veux puis la derniere regle doit tout bloquer.  Si tu fais l'inverse TOUT sera bloqué et les regles suivantes ne seront pas appliquées.

Reply

Marsh Posté le 07-11-2003 à 18:04:02    

et comment je differencie les entrées, par ex :
je voudrais que l'ip 192.1.1.1 dans mon entreprise puisse sortir mais pas que la meme ip extérieure ne puisse traverser ?

Reply

Marsh Posté le 07-11-2003 à 18:18:02    

Exemple simple :
 
LAN-------ETH0 CISCO  ETH1------- WAN
 
Interface ETH1
   acces-group 102 in
 
Interface ETH0
   access-group 101 out
 
access-list 101 remark ACL pour le flux sortant
access-list 101 permit 192.1.1.1 255.255.255.255 any
access-list 101 deny ip any any  (on bloque toutes les autres IP)
 
access-list 102 remark ACL pour le flux entrant
access-list 102 deny ip any 192.1.1.1 255.255.255 (on bloque cette adresse ip en entrée)
acces-list 102 permit ip any any (on autorise toutes les autres).
 

Reply

Marsh Posté le 07-11-2003 à 18:18:39    

un exemple plus complexe :
 
http://www.murph.org/cisco803.shtml

Reply

Marsh Posté le 07-11-2003 à 18:18:39   

Reply

Marsh Posté le 07-11-2003 à 18:28:21    

c koi comme reference ?? c un Pix ???


---------------
It's hard to say it, I hate to say it, but it's probably me...
Reply

Marsh Posté le 10-11-2003 à 19:38:25    

Merci pour les pistes, je vais me replonger dedans.
 
Pour la référence, c'est un Cisco Pix 506.

Reply

Marsh Posté le 10-11-2003 à 20:45:45    

vraiment bon ce forum  :jap:  
 
http://www.labo-cisco.com/forum2/default.asp


---------------
It's hard to say it, I hate to say it, but it's probably me...
Reply

Marsh Posté le 11-11-2003 à 23:26:29    

Attention les "IOS" des pix ne se programme pas exactement de la meme façon que les autres routeurs Cisco.....

Reply

Marsh Posté le 12-11-2003 à 18:07:39    

vrobaina a écrit :

Attention les "IOS" des pix ne se programme pas exactement de la meme façon que les autres routeurs Cisco.....


j'avais malheureusement remarqué, certaines commandes n'existent pas sur un pix alors qu'elle sont présentes sur les routeurs.

Reply

Marsh Posté le 12-11-2003 à 18:41:38    

Si t'es vraiment un niewb coté Pix tu peux tjs utiliser l'interface graphique pour le configurer. Elle ne te permet pas de tout betonner mais elle te permettra de faire une bonne partie du travail

Reply

Marsh Posté le 13-11-2003 à 09:48:01    

justement, impossible de la récupérer sur le FTP de Cisco (http://www.cisco.com/cgi-bin/tablebuild.pl/pix), je me suis pourtant bien enregistré et fait validé le lien présent dans le mail de confirmation
 
 
 
je ne pige pas pq !

Reply

Marsh Posté le 13-11-2003 à 12:11:45    

vrobaina a écrit :

Exemple simple :
 
LAN-------ETH0 CISCO  ETH1------- WAN
 
Interface ETH1
   acces-group 102 in
 
Interface ETH0
   access-group 101 out
 


visiblement, ca ne ressemble pas a ca la synthase sur un pix mais plutot a ca :
 
[no] access-group <access-list> in interface <if_name>
 
a premiere vue, on ne peut pas dire si l'on veut faire le traffic en entrée ou sortie de l'interface, mais comme on en a 2, ce n'est pas grave, ca evite une redondance.

Reply

Marsh Posté le 13-11-2003 à 12:35:43    

normalement, le soft est fourni avec le pix.

Reply

Marsh Posté le 13-11-2003 à 13:40:22    

vrobaina a écrit :

normalement, le soft est fourni avec le pix.
 


je n'ai rien trouvé qui ressemblait au PDM sur les 2 Cd  :(

Reply

Marsh Posté le 13-11-2003 à 18:03:19    

LMF a écrit :


je n'ai rien trouvé qui ressemblait au PDM sur les 2 Cd  :(  


 
c normal, tu peux acceder au PDM avec Internet Explorer
 
https://ip_interne_du_pix/
 
faut ke t'installe une JVM


Message édité par the mystical le 13-11-2003 à 18:06:09

---------------
It's hard to say it, I hate to say it, but it's probably me...
Reply

Marsh Posté le 13-11-2003 à 18:25:52    

une question qui va paraitre bete :
 
j'ai autorisé quelques machines a sortir :

Code :
  1. ex :
  2. access-list acl-in permit tcp host 192.168.10.135 any eq smtp
  3. access-list acl-in permit tcp host 192.168.10.135 any eq http
  4. access-list acl-in permit tcp host 192.168.10.135 any eq ftp


je vais appliquer l'acces list en tant qu'acces group sur l'interface interne.
 
si sur l'autre interface je rentre :

Code :
  1. access-list acl-out deny any any


ca vas bloquer que les intrus et pas le résultats requetes faites par l'host 192.168.10.135 ?

Reply

Marsh Posté le 13-11-2003 à 18:27:34    

une autre question :  
sur routeur cisco, on fait :

Code :
  1. copy run start


 
pour sauvegarder ses modifs, sur le pix, ca ne marche pas !

Reply

Marsh Posté le 14-11-2003 à 13:59:55    

LMF a écrit :

une autre question :  
sur routeur cisco, on fait :

Code :
  1. copy run start


 
pour sauvegarder ses modifs, sur le pix, ca ne marche pas !


 :hello:

Reply

Marsh Posté le 14-11-2003 à 14:02:53    

sur le Pix c :  
 

write mem


---------------
It's hard to say it, I hate to say it, but it's probably me...
Reply

Marsh Posté le 14-11-2003 à 17:07:28    

The Mystical a écrit :

sur le Pix c :  
 

write mem




merci, c'est tout bete  :ange:  
 
je suppose donc que pour restaurer une config venant d'un serveur TFTP, c'est du genre :  

Code :
  1. tftp write mem

Reply

Marsh Posté le 14-11-2003 à 17:17:04    

Pour sauvegarder c'est donc :
 

Code :
  1. write net tftp_ip_adresse:nomdufichier


 
testé et ca marche !
 
pour restaurer une sauvegarde venant d'un TFTP :
 

Code :
  1. write  tftp_ip_adresse:nomdufichier net
  2. puis
  3. wirte mem


 
C'est bien ca commande de la restauration ? (non testé)


Message édité par LMF le 14-11-2003 à 17:17:36
Reply

Marsh Posté le 14-11-2003 à 23:15:12    

LMF a écrit :

Pour sauvegarder c'est donc :
 

Code :
  1. write net tftp_ip_adresse:nomdufichier


 
testé et ca marche !
 
pour restaurer une sauvegarde venant d'un TFTP :
 

Code :
  1. write  tftp_ip_adresse:nomdufichier net
  2. puis
  3. wirte mem


 
C'est bien ca commande de la restauration ? (non testé)


 
pour la restauration jcrois pas :/


---------------
It's hard to say it, I hate to say it, but it's probably me...
Reply

Marsh Posté le 17-11-2003 à 13:34:19    

The Mystical a écrit :


 
pour la restauration jcrois pas :/


tu la connais ?

Reply

Marsh Posté le 17-11-2003 à 20:23:26    

up

Reply

Marsh Posté le 17-11-2003 à 21:29:56    

LMF a écrit :


tu la connais ?


 
nope :/


---------------
It's hard to say it, I hate to say it, but it's probably me...
Reply

Marsh Posté le 19-11-2003 à 13:48:05    

j'ai un probleme :
 
sur l'interface interne :

Code :
  1. access-list acl-in permit tcp host 192.168.10.154 any eq smtp (hitcnt=0)
  2. access-list acl-in permit tcp host 192.168.10.154 any eq www (hitcnt=80)
  3. access-list acl-in permit tcp host 192.168.10.154 any eq ftp (hitcnt=0)
  4. access-list acl-in permit tcp host 192.168.10.104 any eq smtp (hitcnt=4)                                                                       
  5. access-list acl-in permit tcp host 192.168.10.104 any eq www (hitcnt=0)                                                                     
  6. access-list acl-in permit tcp host 192.168.10.104 any eq ftp (hitcnt=0) 
  7. access-list acl-in deny ip any any


 
sur l'interface externe :

Code :
  1. access-list acl-out-bis deny ip any any (hitcnt=2)


 
et les access group
 

Code :
  1. access-group acl-out-bis in interface outside
  2. access-group acl-in in interface inside


 
mon probleme :
 
Ca bloque a moitiée :
 
j'explique :  
par exemple, avec google, je peux faire une requete et avoir son résultat mais impossible de se connecter aux site, pareil pour la messagerie.
 
pour que ca marche je doit remplacer le deny par permit dans la ligne "access-list acl-in permit ip any any" mais dans ce cas, tout le monde peut acceder au net  :fou:


Message édité par LMF le 19-11-2003 à 13:51:28
Reply

Marsh Posté le 19-11-2003 à 16:59:33    

je pense avoir trouvé la solution au probleme :  
j'avais oublié le port pop3 et DNS :D

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed